WordPress выпустил три обновления безопасности за два дня, положив часть сайтов
Дата публикации
13.03.2026
WordPress опубликовал обновление безопасности 6.9.2, которое должно было закрыть десять уязвимостей. Вместо этого оно вызвало сбои на части сайтов — вместо страниц пользователи увидели белый экран. В течение суток команда WordPress выпустила ещё два обновления: 6.9.3 для исправления ошибки и 6.9.4, поскольку не все уязвимости версии 6.9.2 были должным образом устранены.
Что произошло с версией 6.9.2
Обновление безопасности 6.9.2 вышло с патчами для десяти уязвимостей. Вскоре после автоматического обновления часть владельцев сайтов обнаружила, что их страницы перестали отображаться — при переходе на любую из них браузер показывал белый экран, хотя админ-панель работала.
На Reddit и в официальных форумах WordPress начали появляться сообщения о сбоях. описал ситуацию так: после автоматического обновления до 6.9.2 ни одна страница не отображалась, хотя контент в редакторе оставался на месте.
Причина сбоев — темы с нестандартным кодом
Разработчики WordPress установили, что проблема связана не с самим патчем, а с тем, как отдельные темы загружают файлы шаблонов. Некоторые из них использовали неподдерживаемый способ передачи путей к шаблонам (через так называемые «stringable objects» вместо строк), что привело к конфликту с обновлением безопасности.
Хотя ошибка была на стороне тем, с исправлением этой проблемы. А на следующий день появилась ещё и версия 6.9.4 — команда безопасности обнаружила, что часть исправлений в 6.9.2 была применена не полностью. В официальном сообщении WordPress рекомендует немедленно обновиться.
Какие уязвимости были закрыты
четырёх из десяти уязвимостей. Все они имеют средний уровень критичности (от 4.3 до 6.5 баллов по шкале CVSS) и требуют аутентификации для эксплуатации — злоумышленнику сначала нужно получить роль пользователя на сайте.
Наиболее серьёзная уязвимость (6.5/10) — XML External Entity Injection через библиотеку getID3 при загрузке медиафайлов. Она позволяет пользователю с ролью «Автор» читать произвольные файлы на сервере.
Полный перечень десяти закрытых уязвимостей включает Blind SSRF, несколько XSS-уязвимостей, обход авторизации, DoS через регулярные выражения и проблему с обходом путей в PclZip.
Что делать владельцам WordPress-сайтов
WordPress рекомендует как можно скорее обновиться до версии 6.9.4. Если на сайте включены автоматические обновления — проверьте, что они действительно применились. Если нет — обновите вручную.
Эта ситуация в очередной раз демонстрирует, насколько важно регулярно обслуживать сайт на WordPress: своевременно обновлять ядро, темы и плагины, проверять совместимость компонентов и иметь резервные копии на случай сбоев после обновлений.
Комментарии